あるモノが1つの企業からのみ提供されるという事への不安

去る9月21日、Twitterを襲ったXSS脆弱性騒ぎ。脆弱性を突いて無害なtweetをする人、有害なtweetをする人、有害なtweetに引っかかって右往左往する人、正しいようで何処かピントのずれた対処法を喚く人……多種多様カオスな状況が見られて、ちょっと不謹慎な感想だがちょっと面白かった。Twitterの中の人達により、すぐに脆弱性は潰されたし。

それは、まぁ、良い。
良いのだが……
脆弱性の発見者とTwitter側の言い分に『ズレ』が在るのが少々気になる。

脆弱性を突く方法をTwitter-er達に見せつけた@RainbowTwtr、その主である@kinugawamasatoは、この方法を公開した動機について次のように述べている。

@kinugawamasato	もう1ヵ月経つので言うけど、このXSS-after-@ issues、僕が8月14日に報告したものなんだけどなんでold Twitterで修正されてないのにTwitterの中の人自ら丸見えにさせてるの？ http://bit.ly/aDhTs4	link
@kinugawamasato	そんな訳でRainbow Twitterをリリースしました。各自RTしてタイムラインをカラフルにしましょう！！！(新Twitterには対応していません) http://twitter.com/rainbowtwtr	link
@kinugawamasato	クリティカルな問題でありながら報告後長らく修正されなかったこと、さらにツイッター側が自ら脆弱性を公開したままにしており問題意識があまりにも低いことなどを考慮して、背後で巧妙に悪用されるよりは早急に問題の重大さを認識させ対策させた方がいいだろうという判断で虹を架けさせて頂きました	link

それに対して、Twitterは次のようにアナウンスしている。

先月、私たちはこの問題を発見し、パッチによって問題を修正しました。しかし、最近のアップグレードによってこの問題が再度、発生してしまいました

つまり、直ぐに問題がある部分を修正したが、その後で行った別の修正で、ついうっかり修正前のコードに戻してしまった、と。

ところが、これは@kinugawamasatoの次の主張と矛盾する。

@kinugawamasato	一度は修正したと公式が言ってるけど僕は色を変化させた文字をDMに書いて自分に向けて送っておいて修正されたか何度も見ていたが一度も色が戻ったのをみていない。あと詳細は避けるけどもっと前に報告した別のXSSもまだ修正されていない。これも修正したつもりになっているの？	link
@kinugawamasato	インパクトのある方法で公開したから一気に問題が認識されただけで発言しようがしまいが脆弱性は前からあった訳で、広く公開される前にツイッターが緊急に直さない理由があったのかと僕は問いたいです。数日前既に例のテストページ http://j.mp/aDhTs4 に気付いてる人もいたよ。	link

勿論、単純に@kinugawamasatoが、問題が修正された事に気づかなかった(不幸にも、修正されて、同じ問題が復活するまでの間に確認する事が出来なかった)という可能性もある。が、そうではなく、Twitter側が嘘をついている可能性もあるし、今回について言えば、そちらの方が真実であるような気がしてならない。

Twitterはもはやインフラの一種であるのは疑いようがない。そしてTwitterはTwitter社一社により提供されている。(当たり前であるが)言ってしまえば独占状態である。

独占状態が長く続く事は良くない。
どれだけ運営元が下手を打ったとしても、代替となるモノがないので利用者は離れにくい。どれだけ下手をしても利用者が離れないというのであれば、誠実な運営をする必要はなくなり、次第に質が落ちていくだろう。

Twitterは構造的に、『腐りやすい』作りであるように思える。

将来、Twitterが、本当に『腐って』しまわないか少々心配になる。

@RainbowTwtr

2010年9月28日3時21分現在、Twitter自体によってアカウントが削除されている事を確認。
どのようなモノだったかはTwitterを乗っ取った犯人はRainbowワーム、感染者は数百万人規模 | エンタープライズ | マイコミジャーナルにキャプチャ画像が在るので参照されたし。
なお、これ自体は『自分のTweet自体の文字や背景の色を変える』程度の物であり、XSSやワームと呼ぶのには少々抵抗がある。そう呼ぶのは、JavaScriptの実行を行う物に限るべきではないだろうか。